从域名解析过程可以看出,当本地域名服务器缓存不能直接提供域名对应的IP地址时,解析过程必须经过域名根服务器或其镜像服务器。而所有辅根服务器及其镜像需定期从主根服务器同步更新全球域名信息。从技术上看,只需删除主根域名服务器的相关记录,使其国家顶级域名失效,即可实现让一个国家从互联网上消失。
当前,全球互联网域名系统中,唯一的主根服务器设在美国,美国政府授权ICANN(The Internet Corporation for Assigned Names and Numbers,互联网名称与数字地址分配机构)进行控制;12个辅根服务器中9个设在美国,其他3个分别设在英国、瑞典和日本。由于其他根服务器及镜像的域名信息均复制于主根服务器,因此美国事实上控制了全球所有国家和地区的域名解析,具备将一个国家从互联网上“抹去”的能力和条件。
一旦与某国发生冲突,美国在技术上完全可以停止对该国域名的解析,使其网站无法被外界访问。据报道,伊拉克战争期间,美国终止了伊拉克国家顶级域名。IQ的解析[2];在塔利班政权统治阿富汗时期,美国将阿富汗国家顶级域名。AF的管理权授予前流亡政府;2004年4月,由于对顶级域名管理权问题发生分歧,导致利比亚国家顶级域名。LY瘫痪[4],利比亚从互联网上“消失”了3天。
当前针对域名系统的攻击手段多种多样,总结起来主要包括以下三类:
一是分布式拒绝服务攻击(DDOS)。由于域名系统协议存在体系开放、无认证、无连接和无状态等特点,使其更易受到分布式拒绝服务攻击。针对域名系统的分布式拒绝服务攻击主要采用基于正常域名请求、反弹式、大流量阻塞等三种途径。
二是DNS欺骗攻击,通过技术手段向缓存域名服务器注入非法域名解析记录,当用户向被攻击的缓存域名服务器提交域名请求时,将会返回攻击者预先设定的IP地址。
三是域名劫持攻击[3],攻击者控制域名管理密码和域名管理邮箱后,将该域名的NS纪录指向到攻击者可以控制的DNS服务器,然后通过在该DNS服务器上配置相应域名纪录,使用户访问该域名时,实际指向攻击者预先设定的主机。
本文转自d1net(转载)
